LOBSHOT मालवेयर Malvertising अनुसन्धान मार्फत पत्ता लगाइयो
इलास्टिक सेक्युरिटी ल्याब्सका अन्वेषकहरूले भर्खरै LOBSHOT भनिने नयाँ मालवेयर पत्ता लगाएका छन्। LOBSHOT विशेष चासोको विषय हो किनभने यसले खतरा अभिनेताहरूलाई लुकेको VNC (भर्चुअल नेटवर्क कम्प्युटिङ) संक्रमित उपकरणहरूमा पहुँच प्रदान गर्दछ। अन्वेषकहरूले मालवेयर र TA505 बीचको सम्बन्ध पनि फेला पारे, आर्थिक रूपमा उत्प्रेरित साइबर अपराधी समूह विभिन्न ransomware र बैंकिङ ट्रोजनहरू प्रयोग गर्नका लागि परिचित।
सामग्रीको तालिका
मालभरटाइजिङ अभियानहरूमा स्पाइक
मालभरटाइजिङ अभियानहरू संख्यामा बढ्दै गएका छन्, र तिनीहरूको लुकेको प्रकृतिले प्रयोगकर्ताहरूलाई वैध र खराब विज्ञापनहरू बीच फरक गर्न गाह्रो बनाउँछ। सुरक्षा अनुसन्धाताहरूले यो वृद्धिलाई अनलाइन विज्ञापनहरूसँग अन्तर्क्रिया गर्दा सतर्क रहनुको महत्त्वलाई थप हाइलाइट गर्दै, सेवाको रूपमा मालभर्टाइजिङ बेच्ने खतरा अभिनेताहरूलाई श्रेय दिन सकिन्छ भनी अवलोकन गरेका छन्।
तिनीहरूको अनुसन्धानको क्रममा, इलास्टिक सेक्युरिटी ल्याबहरूले व्यापक रूपमा प्रयोग गरिएका अनुप्रयोगहरूमा विशेष कमजोरीहरूलाई लक्षित गर्न शोषण किटहरू प्रयोग गरेर मालभरटाइजिङ अभियानहरूमा एक प्रमुख स्पाइक देखे। यी अभियानहरू धेरै लोकप्रिय वेबसाइटहरूमा बढ्दो रूपमा अवलोकन गरिएको छ, लाखौं प्रयोगकर्ताहरूलाई सम्भावित खतराहरूमा पर्दाफास गर्दै। सामान्यतया, यी वेबसाइटहरूका आगन्तुकहरूले खराबीहरू सामना गर्छन् जुन क्लिक गर्दा, शोषण किट ल्यान्डिङ पृष्ठमा रिडिरेक्ट हुन्छ जहाँ LOBSHOT अन्ततः प्रयोगकर्ताको उपकरणमा कार्यान्वयन हुन्छ।
TA505 पूर्वाधार
TA505 , साइबर अपराधी समूह LOBSHOT को विकास र तैनाती पछाडि रहेको शंका गरिएको छ, लामो समयदेखि यसको व्यापक दुर्भावनापूर्ण गतिविधिहरूको लागि पहिचान गरिएको छ। यो समूह यसको सुव्यवस्थित र विविध दायराका आक्रमण अभियानहरूका लागि परिचित छ, विशेष गरी वित्तीय संस्थाहरूलाई उनीहरूको प्राथमिक लक्ष्यका रूपमा केन्द्रित गर्दै तर तिनीहरूका दुर्भावनापूर्ण गतिविधिहरू अन्य उद्योगहरूमा विस्तार गर्ने।
LOBSHOT को विश्लेषण पछि, इलास्टिक सेक्युरिटी ल्याबहरूले मालवेयरको पूर्वाधार र पहिले पहिचान गरिएको TA505 पूर्वाधार बीचको स्पष्ट ओभरल्याप फेला पारे। आक्रमण विधि र ओभरल्यापिङ पूर्वाधारमा समानताले TA505 LOBSHOT को विकास र सक्रिय प्रयोगको लागि जिम्मेवार छ भन्ने परिकल्पनालाई प्रमाण दिन्छ।
लुकेको VNC पहुँच
LOBSHOT को सबैभन्दा सम्बन्धित पक्षहरू मध्ये एक VNC मार्फत पीडितहरूका यन्त्रहरूमा लुकेका व्यक्तिहरूलाई पहुँच प्रदान गर्ने क्षमता हो। यो विशिष्ट सुविधाले आक्रमणकारीहरूलाई प्रयोगकर्ताको सहमतिलाई बाइपास गर्दा संक्रमित यन्त्रमा रिमोट पहुँच प्राप्त गर्न अनुमति दिन्छ, उनीहरूलाई प्रयोगकर्ताको ज्ञान बिना नै संवेदनशील डेटालाई निगरानी, हेरफेर र निष्कासन गर्ने क्षमता प्रदान गर्दछ। लुकेको VNC पहुँचले LOBSHOT लाई साइबर अपराधीहरूको शस्त्रागारमा, विशेष गरी वित्तीय प्रेरणा भएकाहरूलाई शक्तिशाली र खतरनाक उपकरण बनाउँछ।
वितरण विधि
LOBSHOT मालवेयरको वितरण विधिमा भ्रामक कार्यनीतिहरू, गुगल विज्ञापनहरू र नक्कली वेबसाइटहरू अप्रत्याशित पीडितहरूलाई लोभ्याउनको लागि समावेश भएको देखियो। यी प्रविधिहरूले यस मालवेयरको पछाडि खतरा अभिनेताहरूको परिष्कार र अनुकूलनतालाई थप प्रदर्शन गर्दछ, यसले अन्त प्रयोगकर्ताहरूलाई विज्ञापनहरू ब्राउज गर्दा र क्लिक गर्दा सतर्क हुन अझ महत्त्वपूर्ण बनाउँछ।
गुगल विज्ञापनहरू मार्फत नक्कली वेबसाइटहरू
LOBSHOT वितरण भइरहेको प्राथमिक तरिकाहरू मध्ये एउटा गुगल विज्ञापनहरू मार्फत प्रचारित नक्कली वेबसाइटहरूको प्रयोग हो। धम्की दिने व्यक्तिहरूले यी नक्कली वेबसाइटहरू सिर्जना र कायम राख्छन्, जुन वैध वेबसाइटहरू र सेवाहरूको नक्कल गर्न डिजाइन गरिएको हो। गुगल विज्ञापन प्लेटफर्मको शोषण गरेर, विरोधीहरूले आफ्ना दुर्भावनापूर्ण विज्ञापनहरू अप्रत्याशित प्रयोगकर्ताहरूलाई प्रदर्शन गर्न सक्छन् जसले विज्ञापनहरूमा क्लिक गर्न सक्छन् कि तिनीहरू वास्तविक छन् भन्ने धारणामा क्लिक गर्न सक्छन्, जसले गर्दा तिनीहरूको यन्त्रहरूमा LOBSHOT मालवेयर स्थापना हुन्छ।
प्रयोगकर्ताहरूलाई फेक AnyDesk डोमेनमा पुन: निर्देशित गर्दै
नक्कली वेबसाइटहरू प्रयोग गर्नु बाहेक, LOBSHOT मालवेयरको वितरण प्रक्रियामा प्रयोगकर्ताहरूलाई नक्कली AnyDesk डोमेनमा रिडिरेक्ट गर्ने पनि समावेश छ। AnyDesk एक लोकप्रिय रिमोट डेस्कटप अनुप्रयोग हो जुन धेरै व्यवसायहरू र व्यक्तिहरू टाढाको पहुँच र समर्थनको लागि भर पर्छन्। धम्की दिने कलाकारहरूले प्रयोगकर्ताहरूलाई सफ्टवेयरको खराब संस्करण डाउनलोड गर्न धोका दिन काल्पनिक AnyDesk डोमेन सिर्जना गरेर यो विश्वासको फाइदा उठाएका छन्, जुन वास्तवमा LOBSHOT मालवेयर हो। यस विधिले यी साइबर अपराधीहरूले पीडितहरूलाई फसाउन र तिनीहरूका खराब गतिविधिहरू कार्यान्वयन गर्न प्रयोग गर्ने धूर्त रणनीतिहरूलाई थप हाइलाइट गर्दछ।
सम्झौता प्रणाली मार्फत स्थापना
केहि अवस्थामा, LOBSHOT मालवेयर एक सम्झौता प्रणाली मार्फत पीडितको उपकरणमा स्थापना गर्न सकिन्छ। यो हुन सक्छ यदि प्रयोगकर्ताले अनजानमा मालवेयरद्वारा संक्रमित वेबसाइटबाट सामग्री भ्रमण वा डाउनलोड गर्दछ वा यदि तिनीहरू भाला-फिसिङ अभियानको लक्ष्य बनेका छन्। एकपटक मालवेयरले पीडितको उपकरणमा सफलतापूर्वक घुसपैठ गरिसकेपछि, यसले खतरा अभिनेतालाई लुकेको VNC पहुँच प्रदान गर्न सक्छ, जसले त्यसपछि रिमोट रूपमा प्रणालीलाई इच्छित रूपमा नियन्त्रण र हेरफेर गर्न सक्छ।
LOBSHOT को क्षमताहरू
LOBSHOT मालवेयरले प्रयोगकर्ताका यन्त्रहरूमा घुसपैठ र शोषण गर्नमा निपुण बनाउने शक्तिशाली क्षमताहरूको दायरा समेट्छ। मालवेयर मुख्यतया लुकेको भर्चुअल नेटवर्क कम्प्युटिङ (hVNC) मा केन्द्रित छ, जसले आक्रमणकारीहरूलाई टाढाबाट संक्रमित उपकरणहरू नियन्त्रण गर्न र तिनीहरूको प्रयोगकर्ता इन्टरफेस पहुँच गर्न अनुमति दिन्छ। LOBSHOT को मुख्य क्षमताहरू समावेश छन्:
हिडन भर्चुअल नेटवर्क कम्प्युटिङ (hVNC)
LOBSHOT को कार्यक्षमता को केन्द्र मा लुकेको VNC पहुँच पीडित यन्त्रहरूमा प्रदान गर्ने क्षमता हो। hVNC मार्फत, आक्रमणकारीहरूलाई पीडितको सहमति वा जानकारी बिना उपकरणलाई टाढाबाट नियन्त्रण गर्ने गोप्य विधि प्रदान गरिन्छ। hVNC सुविधाले LOBSHOT लाई विशेष गरी खतरनाक बनाउँछ, किनकि यसले खराब कलाकारहरूलाई विभिन्न नराम्रा गतिविधिहरू गर्दा सम्झौता गरिएका यन्त्रहरूमा लुकेर उपस्थिति कायम राख्न अनुमति दिन्छ।
यन्त्रको रिमोट कन्ट्रोल
LOBSHOT को hVNC क्षमताहरूले आक्रमणकारीहरूलाई संक्रमित उपकरणहरूको पूर्ण नियन्त्रण लिन, आदेशहरू कार्यान्वयन गर्न, परिवर्तनहरू गर्न, र स्रोतहरू पहुँच गर्न सक्षम बनाउँछ मानौं तिनीहरू वैध प्रयोगकर्ता हुन्। नियन्त्रणको यो स्तरले खतरा कर्ताहरूलाई डेटा निष्कासन, अतिरिक्त मालवेयर स्थापना गर्ने, र जासुसी अभियानहरू सञ्चालन गर्ने जस्ता दुर्भावनापूर्ण गतिविधिहरूको विस्तृत दायरा पूरा गर्न अनुमति दिन्छ। पीडितको यन्त्रलाई टाढाबाट नियन्त्रण गर्ने क्षमताले LOBSHOT द्वारा निम्त्याएको महत्त्वपूर्ण खतरालाई रेखांकित गर्दछ।
पूर्ण ग्राफिक प्रयोगकर्ता इन्टरफेस (GUI)
मालवेयरसँग लक्षित उपकरणको पूर्ण ग्राफिक प्रयोगकर्ता इन्टरफेस (GUI) पहुँच गर्ने क्षमता पनि छ, जसको मतलब आक्रमणकर्ताले उपकरणको डेस्कटप वातावरणसँग दृश्यात्मक रूपमा अन्तरक्रिया गर्न सक्छ। यो सुविधाले खतरा अभिनेतालाई नेभिगेट गर्न र सम्झौता गरिएको यन्त्रलाई हेरफेर गर्न सजिलो बनाएर मालवेयरमा दक्षता र नियन्त्रणको अर्को तह थप्छ। पूर्ण GUI मा पहुँचले आक्रमणकारीलाई प्रयोगकर्ता गतिविधिहरू निगरानी गर्न, संवेदनशील जानकारी पहुँच गर्न, र वैध प्रयोगकर्तालाई श्रेय दिइएको कार्यहरू प्रदर्शन गर्न सक्षम बनाउँछ, LOBSHOT को हानिकारकतालाई थप जोड दिन्छ।
शमन र चिन्ताहरू
LOBSHOT मालवेयरले यसको लुकेको VNC क्षमताहरू र TA505 जस्ता आर्थिक रूपमा उत्प्रेरित खतरा अभिनेताहरूसँगको सम्बन्धको कारणले व्यक्तिगत प्रयोगकर्ताहरू र संस्थाहरू दुवैलाई महत्त्वपूर्ण चिन्ताहरू प्रस्तुत गर्दछ। यी चिन्ताहरूलाई कम गर्न र सम्बोधन गर्नमा सम्भावित जोखिमहरू बुझ्ने र उपयुक्त सुरक्षात्मक उपायहरू लागू गर्ने, साथै Google विज्ञापनहरू जस्ता प्लेटफर्महरूमा कडा नियमहरूको लागि आह्वान गर्ने समावेश छ।
बैंकिङ र वित्तीय जानकारी चोरी
LOBSHOT को वरिपरि प्राथमिक चिन्ताहरू मध्ये एक संक्रमित उपकरणहरूबाट बैंकिङ र वित्तीय जानकारी चोर्ने सम्भावना हो। यसको लुकेको VNC पहुँचले आक्रमणकारीहरूलाई पत्ता नलागेका यन्त्रहरूमा घुसपैठ गर्न, प्रयोगकर्ताका गतिविधिहरू निगरानी गर्न, र लगइन प्रमाणहरू, खाता नम्बरहरू, र लेनदेन विवरणहरू जस्ता संवेदनशील डेटाहरू खिच्न अनुमति दिन्छ। त्यस्ता जानकारीलाई आर्थिक लाभको लागि प्रयोग गर्न सकिन्छ वा थप आक्रमणहरूमा प्रयोग गर्न सकिन्छ, जस्तै क्रेडेन्सियल स्टफिङ वा फिसिङ अभियानहरू।
Google मा कडा विज्ञापन नियमनको लागि कल
Google विज्ञापनहरू मार्फत मालवेयर वितरणको बढ्दो खतराको प्रतिक्रियामा, धेरै अनुसन्धानकर्ताहरू र सुरक्षा पेशेवरहरूले Google को होल्डिङ कम्पनी अल्फाबेटलाई विज्ञापनहरूको स्वीकृतिमा कडा नियमहरू लागू गर्न आह्वान गरेका छन्। थप बलियो विज्ञापन स्क्रिनिङ प्रक्रियाहरू र प्रमाणीकरण संयन्त्रहरू लागू गर्नाले LOBSHOT जस्ता मालवेयरको फैलावटलाई न्यूनीकरण गर्न र अप्रत्याशित प्रयोगकर्ताहरूलाई त्यस्ता खतराहरूको सिकार हुने जोखिमलाई कम गर्न मद्दत गर्न सक्छ। यस बीचमा, अन्त प्रयोगकर्ताहरूले उनीहरूले भ्रमण गरिरहेको डोमेन र उनीहरूले डाउनलोड गरिरहेको सफ्टवेयरको वैधता प्रमाणित गरेर सावधानी अपनाउनुपर्छ।